关于调用CMD程序的安全问题

岁月遐想

谷雨时节 发表于 2012-4-30 20:30
还真是，谢谢啦  呵呵   着我就放心了的啊  ~~~~ 嘿嘿

难道cmd还会继承父进程的权限不成？

accordion

柯林 发表于 2012-4-30 20:16
读懂“权限继承”这句话，就不会有这些瞎担心了。不相信，自己测试。

V5有权限继承？

accordion

首先我看到柯大说有权限集成，我不知道V5是不是权限继承，反正V3不是

如果是正常程序调用是没问题，自己的操作也没问题，但是病毒那是绝对有问题，亲身经历

柯林

accordion 发表于 2012-5-5 13:40
首先我看到柯大说有权限集成，我不知道V5是不是权限继承，反正V3不是

如果是正常程序调用是没问题，自己 ...

权限继承，是新版的沙盘机制专用的——一个程序如果不受信任，则它启动的子程序（创建的进程）依然继承父程序的权限。

例1、一个名为A.bat的程序被explorer所运行，该bat程序没有通过毛豆验证，属于不受信任的程序（无法识别的文件“，则该bat调用cmd.exe来解释执行时，cmd.exe依旧继承的是A.bat权限——不受信任，如果你的规则设定了不受信任的程序放沙盘里隔离执行，那么cmd.exe必然是进沙盘去执行A.bat所写的dos命令的，在这整个过程中，与cmd.exe被毛豆默认验证和信任为windows系统进程无关。这就是新版的权限继承。很多人读不懂这个权限继承关系，所以盲目诽谤默认规则不安全，纯属瞎扯。

权限继承关系，赤果果地表明了，不论一个病毒，是脚本或exe之类的可执行文件，无论是谁启动它，只要它没有通过毛豆的验证，无法被判为安全程序（受信任的文件），按默认规则的设置，必然要被隔离进沙盘，此其一。进了沙盘的程序，无论它去启动什么程序，它所创建的新进程（子程序），一样继承它的权限，跟随它一块进了沙盘，不管是svchost.EXE还是explorer之类的系统进程，都逃不脱该定律，此其二。

真正弄懂权限继承这四个字，就不会再讲默认规则不安全这句废话、昏话！默认规则的遗漏，是对于足球样本那样的东东，因为列为受保护的内容不够而有欠缺，如果你在乎那样的问题，那就补上，如果立足实际应用，你不专门去下足球样本，你一辈子都可能碰不到那种玩意，纯属无聊的担心。

accordion

柯林 发表于 2012-5-5 14:53
权限继承，是新版的沙盘机制专用的——一个程序如果不受信任，则它启动的子程序（创建的进程）依然继承父 ...

原来是沙盘啊

我还以为是D+什么的新版功能

不过沙盘我还是喜欢SBIE多一点~

柯林

accordion 发表于 2012-5-5 15:09
原来是沙盘啊

我还以为是D+什么的新版功能

原理上讲，D+本身已经包含该功能，只不过结合沙盘才表现得比较清晰和透彻。

权限继承不是什么新东东，windows系统本身就具备了——譬如xp系统，设置了基本用户，把某个文件夹授权为基本用户权限时，该文件夹内所有的程序及其所运行的子程序，都继承基本用户权限。

谷雨时节

岁月遐想 发表于 2012-5-5 00:11
难道cmd还会继承父进程的权限不成？

可以的 你试试就知道了  虽然我不知道是什么情况，但是的确是那个程序调用出CMD之后，但是在CMD上什么都操作不了，因为我给父进程限制的比较严格

谷雨时节

柯林 发表于 2012-5-5 15:46
原理上讲，D+本身已经包含该功能，只不过结合沙盘才表现得比较清晰和透彻。

权限继承不是什么新东东， ...

柯大，那如果父进程是信任文件，并且父进程的规则如下图，父进程调用CMD文件，CMD是不是也是和父进程同样的权限呢？

柯林

谷雨时节 发表于 2012-5-5 16:47
柯大，那如果父进程是信任文件，并且父进程的规则如下图，父进程调用CMD文件，CMD是不是也是和父进程同样 ...

权限继承已经规定死了——子进程继承父进程的权限，当然是。

但是，实际，注意实际，你见过几个所谓的信任程序直接调用cmd的？常见的是病毒，内部写有dos命令，或者直接是批处理文件转为exe格式。一般情况下，都是批处理文件在调用cmd——系统默认设定，cmd程序为批处理文件的执行解释程序！有几个批处理文件有合法数字签名，可被毛豆信任的？此问题的实际意义，基本上无意义。

岁月遐想

谷雨时节 发表于 2012-5-5 16:39
可以的 你试试就知道了  虽然我不知道是什么情况，但是的确是那个程序调用出CMD之后，但是在CMD上什么都操 ...

那我想也只有在开了自动入沙的情况下吧！如果没开自动入沙不知道还能不能继承？我是没见过，而我偏偏有不喜欢自动如沙，在毛豆上自动入沙的程序能有几个可以正常运行的？一旦自动入沙可以说是直接判死刑了？因为往往是一个受信任的程序调用了一个不能被毛豆信任的可执行文件时会被自动入沙，可是一旦这样，程序就无法正常工作了，一个在沙盘外一个在里面。而且现在毛豆的沙盘很容易抽风。不喜欢用，所以我现在没开自动入沙。想入沙时只能手动入沙了。